首頁(yè)>>廠(chǎng)商>>交換機/ACD系統平臺廠(chǎng)商>>上海貝爾阿爾卡特

NGN的安全問(wèn)題和應對策略

胡浩 2006/05/18

一、NGN的安全威脅主要來(lái)自哪些方面?NGN的承載網(wǎng)——分組網(wǎng)絡(luò )是否是NGN安全性的決定因素?
  1. NGN作為承載在分組網(wǎng)絡(luò )之上的下一代通信網(wǎng)絡(luò ),繼承了分組IP網(wǎng)絡(luò )的主要安全問(wèn)題,包括黑客DOS攻擊、病毒蠕蟲(chóng)木馬的入侵、非法掃描,信息盜取、電話(huà)盜聽(tīng),地址欺騙,信息騷擾等。

  2. NGN核心系統位置相對集中,業(yè)務(wù)覆蓋面廣,NGN核心系統的安全成為NGN安全的重中之重。

  3. NGN終端多為有復雜操作系統的智能終端,接入的形式多種多樣,位置分散, 常與常規的數據終端同處于一個(gè)環(huán)境,使得終端系統遭到攻擊的可能性大大增加。

  4. IAD/IP Phone等終端及用戶(hù)通過(guò)冒用截獲的帳號進(jìn)行非法接入,電話(huà)盜打,電話(huà)騷擾。

  5. NGN系統采用媒體流與控制分離的思路,客觀(guān)上增加了安全監控的難度。
  分組IP承載網(wǎng)絡(luò )是影響NGN安全性的重要方面,NGN網(wǎng)絡(luò )安全需要全方位的、整體的安全體系。

二、NGN與傳統電信網(wǎng)絡(luò )以及互聯(lián)網(wǎng)對安全的要求有何不同?能否描述一下安全的NGN環(huán)境應該達到何種效果?

1. NGN對安全的要求與傳統電信網(wǎng)絡(luò )對安全的要求不同   
  1. 傳統電信網(wǎng)絡(luò )強調網(wǎng)絡(luò )的可靠性和可用性,不強調網(wǎng)上應用的安全;NGN不僅要強調業(yè)務(wù)的可用性和可控性,還要強調承載網(wǎng)的可靠性和生存性,而且要保證信息傳遞的完整性、機密性和不可否認性。


  2. NGN系統按業(yè)務(wù)層、控制層、承載層進(jìn)行分離,各層所有相關(guān)設備采用標準協(xié)議,同時(shí)NGN采用IP進(jìn)行承載,這種開(kāi)放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率,面臨如用戶(hù)仿冒、盜打、破壞服務(wù)、搶占資源等安全問(wèn)題。


  3. 傳統電信網(wǎng)對信令網(wǎng)的安全要求高,一般為獨立的信令網(wǎng),信令網(wǎng)的安全可靠保證了網(wǎng)絡(luò )的安全;NGN強調網(wǎng)絡(luò )融合,信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進(jìn)行承載,承載網(wǎng)的安全變得非常重要。


  4. 傳統電信網(wǎng)的傳輸采用TDM的專(zhuān)線(xiàn),用戶(hù)之間采用面向連接的通道進(jìn)行通信,其他用戶(hù)很難插入偷聽(tīng);NGN采用IP技術(shù)進(jìn)行通信,由于IP的無(wú)連接性,及不對源地址進(jìn)行認證的特性,黑客容易截取通話(huà),盜用帳號,電話(huà)騷擾。


  5. 由于傳統電信網(wǎng)用戶(hù)線(xiàn)TDM用戶(hù)速率的限制,及可以按照物理端口進(jìn)行追溯跟蹤的特性,黑客很難對網(wǎng)絡(luò )系統進(jìn)行DOS攻擊;NGN由于采用IP承載,按照用戶(hù)進(jìn)行通信管理,黑客可以冒充其他帳戶(hù),向網(wǎng)絡(luò )發(fā)送大量流量對NGN系統進(jìn)行DOS攻擊。
2 NGN對安全的要求與互聯(lián)網(wǎng)對安全的要求不同   
  1. 一般來(lái)說(shuō),傳統互聯(lián)網(wǎng)運營(yíng)商只提供網(wǎng)絡(luò )通路,不提供端到端的網(wǎng)絡(luò )安全服務(wù),端到端的安全主要靠互聯(lián)網(wǎng)用戶(hù)自己解決;NGN系統由于強調為用戶(hù)提供的安全可靠的服務(wù),必須要求網(wǎng)絡(luò )做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統時(shí),要進(jìn)行身份認證,MAC地址,IP地址等物理屬性的檢查,用戶(hù)在使用NGN服務(wù)時(shí),也必須進(jìn)行帳戶(hù)的認證。


  2. 互聯(lián)網(wǎng)業(yè)務(wù)基本上是一種基于“盡力而為”的機制,對業(yè)務(wù)的中斷不敏感,可以通過(guò)節點(diǎn)冗余、鏈路冗余、模塊冗余等方式,利用路由協(xié)議進(jìn)行收斂,達到秒級的業(yè)務(wù)收斂時(shí)間,以保證服務(wù)的可靠性;而NGN承載的實(shí)時(shí)語(yǔ)音業(yè)務(wù)不允許出現業(yè)務(wù)中斷,要求承載網(wǎng)具有低于秒級的快速收斂能力,因此除了上述方式外,還必須強調系統設備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協(xié)議快速收斂和網(wǎng)絡(luò )設備的不間斷服務(wù)NSR/NSS等技術(shù)實(shí)現毫秒級的鏈路和節點(diǎn)保護。軟交換系統、業(yè)務(wù)系統能夠做到異地冗災熱備,一個(gè)NGN核心系統的故障不會(huì )影響整個(gè)系統的大面積宕機。


  3. 互聯(lián)網(wǎng)強調網(wǎng)絡(luò )設備自身的安全,采取路由協(xié)議加密,ACL等措施使得網(wǎng)絡(luò )設備不受攻擊;NGN除了要求網(wǎng)絡(luò )系統設備本身的安全以外,還要求NGN系統在核心設備的出口部署防火墻,入侵防護系統IPS、會(huì )話(huà)邊界控制器SBC等安全設備,以保護NGN核心設備的安全。
三、目前應該從哪些方面著(zhù)手解決NGN的安全問(wèn)題?

  NGN的安全問(wèn)題是軟交換商用過(guò)程中需要面對和解決的主要問(wèn)題,目前而言,以下問(wèn)題值得重視:
  1. 跟蹤NGN系統面臨的不斷變化的各種安全威脅,啟用嚴格的網(wǎng)絡(luò )安全機制,系統關(guān)閉任何不使用的網(wǎng)絡(luò )服務(wù),防止非法用戶(hù)通過(guò)非法的服務(wù)入侵設備;通過(guò)隔離、過(guò)濾、監測、認證、加密等手段降低遭受攻擊的可能性,并檢測、記錄攻擊的發(fā)生,保證攻擊的可溯源性。


  2. 制定NGN安全標準規范。由于各廠(chǎng)家在保證NGN安全方面的做法不盡相同,迫切需要有關(guān)部門(mén)能夠統一協(xié)調,制定統一規范,以保證NGN系統在業(yè)務(wù)提供層面,在NGN信令層面,在IP承載層面,在終端層面等各個(gè)不同環(huán)節保證NGN系統的互聯(lián)戶(hù)通及NGN業(yè)務(wù)的安全提供。


  3. 對NGN的協(xié)議安全進(jìn)行深入研究。隨著(zhù)NGN的日益普及,SIP、BICC、H248、Sigtran等NGN協(xié)議在IP承載網(wǎng)上進(jìn)行傳輸時(shí)需要考慮相應的協(xié)議安全性、反攻擊性,需要對NGN協(xié)議的安全性進(jìn)一步研究,防患于未然。


  4. 關(guān)注NGN終端接入的安全。當前NGN核心系統的建設采用物理隔離,VPN邏輯隔離,以及采用防火墻等安全設備,安全基本上得到保證。在NGN終端層面,由于網(wǎng)絡(luò )接入形式多種多樣,面臨的安全風(fēng)險很多,給NGN整個(gè)系統的安全帶來(lái)了隱患,所以需要業(yè)界建立標準的NGN終端接入安全體系。
四、在NGN網(wǎng)絡(luò )中,是否需要對不同業(yè)務(wù)劃分安全等級?劃分標準為何?

  在NGN網(wǎng)絡(luò )中,運營(yíng)商必須保證提供的各種業(yè)務(wù)的安全,可以把NGN系統設備,各種業(yè)務(wù)服務(wù)器歸屬于不同的安全域,不同的安全域對應為不同的安全等級,安全等級的劃分保證了高級別安全域的系統設備與低等級系統的安全隔離。等級高的安全域可以訪(fǎng)問(wèn)低等級的安全域,低等級的安全域不能直接訪(fǎng)問(wèn)高等級的安全域,如果要訪(fǎng)問(wèn),必須經(jīng)過(guò)嚴格的狀態(tài)檢測。

  安全級別的劃分可以根據系統設備的重要程度, 各種業(yè)務(wù)面臨的安全威脅的嚴重程度,進(jìn)行安全級別的劃分,比如NGN系統可以把一些關(guān)鍵信令設備,重要的業(yè)務(wù)服務(wù)器放入信任區安全等級,而把Web門(mén)戶(hù),測試終端,DNS/DHCP等設備放在半信任區,把一些外網(wǎng)設備如NGN終端,網(wǎng)管終端,SBC等放在非信任區安全等級。

  對于不同的NGN業(yè)務(wù),如語(yǔ)音業(yè)務(wù),多媒體業(yè)務(wù)等可以根據用戶(hù)的SLA,用戶(hù)等級,業(yè)務(wù)特征劃分不同的QoS等級,以為高等級的業(yè)務(wù)提供在帶寬、時(shí)延、抖動(dòng)、收斂時(shí)間、安全等方面提供不同的服務(wù)質(zhì)量保證,比如可以允許語(yǔ)音視頻等實(shí)時(shí)性要求高的業(yè)務(wù)分配確定的帶寬,而對實(shí)時(shí)性要求不高的數據業(yè)務(wù),可以限制其訪(fǎng)問(wèn)帶寬。至于QoS等級劃分,國際標準組織如ITU-T也有相應的推薦標準,一些運營(yíng)商已經(jīng)有了自己的企業(yè)標準。

五、多媒體應用是NGN業(yè)務(wù)的一個(gè)主要代表,也是固網(wǎng)運營(yíng)商大力發(fā)展的寬帶業(yè)務(wù)之一,目前對于承載在互聯(lián)網(wǎng)上的視頻業(yè)務(wù)安全威脅主要來(lái)自哪里?是否有適當的應對策略?

  NGN視頻業(yè)務(wù)主要包括點(diǎn)對點(diǎn)視頻業(yè)務(wù)和多點(diǎn)視頻會(huì )議業(yè)務(wù),對于點(diǎn)對點(diǎn)視頻業(yè)務(wù),安全威脅與NGN語(yǔ)音基本上是一樣的,主要是受到DOS攻擊,病毒蠕蟲(chóng)的影響,由于視頻業(yè)務(wù)對帶寬的敏感,很容易受到攻擊。多點(diǎn)視頻業(yè)務(wù)的安全威脅,主要來(lái)自于非法盜聽(tīng),視頻服務(wù)器的DOS攻擊。

  采用SBC等設備作為軟交換協(xié)議應用層防火墻,具備入侵檢測、帶寬控制策略、保護會(huì )話(huà)不被竊取、防止RIP流擁塞和呼叫干擾等功能,可以使核心網(wǎng)設備免受惡意攻擊和突發(fā)的DOS攻擊,防止服務(wù)欺騙等其它類(lèi)型的安全風(fēng)險,提供進(jìn)入權控制方法(Admission control policies),可以控制并保障會(huì )話(huà)總數、會(huì )話(huà)帶寬以及會(huì )話(huà)類(lèi)型。會(huì )話(huà)傳送質(zhì)量的保證還依賴(lài)兩端路由器中業(yè)務(wù)優(yōu)先級的正確設置,SBC支持數據包的有效處理,能夠清楚地標明QoS等級,減去邊緣路由器的工作量。

六、目前有哪些技術(shù)可以幫助實(shí)現NGN的安全性?這些技術(shù)的的演進(jìn)過(guò)程以及方向?(最好可以詳細列舉)

  目前用來(lái)解決NGN安全性的應對措施主要包括媒體流的加密傳送,SIP消息的加密,VPN技術(shù),IPsec隧道技術(shù),接入網(wǎng)的邏輯或物理隔離,終端的接入許可,帳戶(hù)密碼的加密認證,承載網(wǎng)的防偽裝技術(shù)與安全過(guò)濾,NGN核心的防火墻、入侵防護技術(shù)等等。

  NGN的安全與其他業(yè)務(wù)一樣,不可能一蹴而就,需要不斷演進(jìn),其中一個(gè)重要的發(fā)展方向是NGN的安全更加強調用戶(hù)接入的安全,比如終端的網(wǎng)絡(luò )接入許可控制,針對每一用戶(hù)設置接入訪(fǎng)問(wèn)控制列表,并限制用戶(hù)的訪(fǎng)問(wèn)速度。

七、NGN作為下一代網(wǎng)絡(luò )的整體概念,其安全涉及面應該非常廣泛,目前是否有單位或組織進(jìn)行NGN安全體系框架的研究和制定?目前我國政府、運營(yíng)商或設備廠(chǎng)商已經(jīng)做了哪些工作?

  目前在IMS相關(guān)標準組織中把NGN的安全做為單獨的課題進(jìn)行研究,如ITU-T FGNGN在IMS體系架構中提出NGN安全架構,研究NGN安全的體系架構,研究提供端到端的安全機制,提供應用于多個(gè)管理域的安全解決方案。但還處于不斷發(fā)展當中。 IETF 對于NGN及安全方面主要關(guān)注于SIP協(xié)議、IPv6和網(wǎng)絡(luò )安全的研究。

  我國相關(guān)廠(chǎng)家及研究機構專(zhuān)家近幾年對NGN領(lǐng)域的關(guān)注程度大大提高,ITU-TNGN會(huì )議我國專(zhuān)家參會(huì )人數以及提交的文稿數越來(lái)越多,并承擔了多個(gè)新建議草案的起草。作為NGN領(lǐng)域的重要設備制造商之一,上海貝爾阿爾卡特已向國際電信聯(lián)盟(ITU)提交了50余篇NGN標準文稿,均被采納,另外,上海貝爾阿爾卡特還負責主導和參與了20余項NGN國家標準的制定(已批準和發(fā)布)。

ChinaByte(e.chinabyte.com)


相關(guān)鏈接:
上海貝爾企業(yè)通信與神州數碼簽約渠道合作 2009-09-28
阿朗入選Gartner全球統一通信領(lǐng)導者象限 2009-09-28
中星微并購上海貝爾視頻監控系統業(yè)務(wù) 2009-09-27
阿爾卡特朗訊助英國國民保健信托會(huì )轉型 2009-09-25
阿爾卡特朗訊部署沃達豐葡萄牙公司IPTV設備 2009-09-23

相關(guān)頻道:           文摘   技術(shù)_融合通信_新聞   技術(shù)_NGN及軟交換_文摘
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 长子县| 南丹县| 乐昌市| 锡林浩特市| 固镇县| 分宜县| 江达县| 潮州市| 肇源县| 镇安县| 湖南省| 瓦房店市| 康保县| 西峡县| 华阴市| 临猗县| 汕尾市| 花莲市| 新民市| 芦溪县| 西安市| 宜兰市| 永吉县| 宣城市| 新安县| 大悟县| 灵宝市| 金坛市| 阜新市| 湘西| 平凉市| 富源县| 洪湖市| 河间市| 安龙县| 佛山市| 阜新| 苍南县| 乌恰县| 卢氏县| 大方县| http://444 http://444 http://444 http://444 http://444 http://444